La Norma sull’Intelligenza Artificiale è entrata ufficialmente nelle imprese italiane

Dal 10 ottobre 2025, con l’entrata in vigore della Legge 23 settembre 2025 n. 132, l’Italia dispone del proprio quadro normativo in materia di intelligenza artificiale.
La nuova norma sull’intelligenza artificiale integra e si coordina con l’AI Act (Regolamento UE 2024/1689), già in vigore dal 1° agosto 2024, stabilendo regole comuni a livello europeo per promuovere un utilizzo sicuro, trasparente e responsabile dell’IA.

Contrariamente a quanto molti pensano, la normativa non è destinata solo ai grandi gruppi tecnologici o a chi sviluppa algoritmi complessi, ma si rivolge a tutte le imprese e i professionisti che utilizzano, anche in modo inconsapevole, strumenti basati su logiche di intelligenza artificiale.

Oggi l’IA è già parte integrante delle attività quotidiane: nei software gestionali e di contabilità, nelle piattaforme di marketing e CRM, nei sistemi di videosorveglianza intelligente, nei chatbot di assistenza clienti, nei filtri antispam, nelle applicazioni di analisi predittiva e nei moduli di scrittura automatica.
Molte aziende artigiane, studi professionali e attività di piccole dimensioni utilizzano già queste tecnologie, spesso senza la consapevolezza di essere soggetti agli obblighi di governance introdotti dalla nuova legge.

Cos’è l’intelligenza artificiale secondo l’AI Act

L’AI Act definisce un sistema di intelligenza artificiale come un software sviluppato attraverso tecniche di machine learning, logica o conoscenza basata su regole, ottimizzazione statistica o approcci simbolici, in grado di ricevere input (dati, testi, immagini, suoni) e generare output — come previsioni, raccomandazioni, decisioni o contenuti — che influenzano ambienti reali o virtuali.

In termini pratici, la normativa considera “attività svolta con l’intelligenza artificiale” qualsiasi processo aziendale o professionale in cui un sistema di IA elabora informazioni o produce risultati che incidono sulle decisioni, sui comportamenti o sui diritti delle persone.
Non serve quindi progettare algoritmi per rientrare nella legge: è sufficiente utilizzarli, anche come utenti di piattaforme o software forniti da terzi.

Perché riguarda anche le imprese meno digitalizzate

Molte PMI ritengono di non essere interessate dalle nuove norme, ma un’analisi più attenta mostra il contrario.
L’intelligenza artificiale è già presente in moltissimi strumenti di uso quotidiano, spesso integrati in applicazioni di terze parti e utilizzati dalle imprese senza consapevolezza tecnica diretta:

• Piattaforme HR che analizzano i curriculum o suggeriscono candidati;
• CRM e gestionali che segmentano la clientela o generano analisi predittive;
• Software di contabilità con funzioni di classificazione automatica delle spese;
• Telecamere intelligenti per il controllo accessi o la sicurezza;
• Sistemi di manutenzione predittiva nei reparti produttivi;
• Applicazioni di marketing che creano testi o immagini per campagne.

In ciascuno di questi casi, l’IA interviene nel processo decisionale, anche in modo invisibile.
Ignorarne la presenza non esonera dagli obblighi di conformità: le aziende devono iniziare a mappare gli strumenti che la impiegano e valutarne il livello di rischio.

La governance aziendale dell’intelligenza artificiale

La Legge 132/2025 richiede che ogni organizzazione si doti di una governance interna dell’intelligenza artificiale, ossia un sistema di regole, ruoli e procedure volto a garantire un uso consapevole, sicuro e trasparente delle tecnologie di IA.
Una governance efficace consente di:

• individuare e classificare i sistemi IA presenti nei processi aziendali;
• valutare i rischi connessi al loro impiego;
• monitorarne l’affidabilità e correggere eventuali anomalie;
• documentare controlli, scelte e responsabilità;
• garantire trasparenza verso clienti, dipendenti e autorità di vigilanza.

La classificazione dei sistemi di IA

L’AI Act suddivide i sistemi di intelligenza artificiale in quattro livelli di rischio: minimo o limitato, medio o significativo, alto e inaccettabile (vietato).
La classificazione non dipende dalla complessità del software, ma dal tipo di impatto che il suo uso può avere sulle persone, sui diritti e sulla sicurezza.

🟢 Rischio minimo o limitato

Sistemi che non incidono in modo rilevante su diritti o sicurezza.
Esempi: filtri antispam, correttori automatici, OCR per fatture, chatbot informativi, sistemi di raccomandazione, telecamere che contano ingressi senza identificare i volti.
Obblighi: informare l’utente, mantenere un inventario dei sistemi e garantire tracciabilità di base.

Anche una piccola impresa, un negozio o uno studio professionale utilizza strumenti di questo tipo: è intelligenza artificiale, anche se “invisibile”.

🟡 Rischio medio o significativo

Sistemi che influenzano decisioni economiche o organizzative.
Esempi: marketing predittivo, CRM con profilazione, software di gestione dei turni, sistemi di pricing dinamico, previsioni di domanda, controlli qualità automatizzati.
Obblighi: autovalutazione del rischio, supervisione umana, controllo delle metriche di accuratezza e formazione del personale.

Questi sistemi non decidono da soli, ma orientano le scelte aziendali: è essenziale sapere chi li controlla e come.

🔴 Rischio alto

Sistemi che incidono direttamente su diritti fondamentali, salute o sicurezza.
Esempi: selezione del personale, concessione del credito, diagnosi sanitaria, sistemi biometrici, gestione della sicurezza degli impianti, valutazioni formative o professionali.
Obblighi: registrazione dei sistemi, supervisione umana obbligatoria, test di robustezza, audit periodici, DPIA (valutazione d’impatto privacy) e documentazione tecnica completa.

Anche piccole strutture come cliniche private, scuole, centri sportivi o negozi con riconoscimento facciale possono rientrare in questa categoria.

⚫ Rischio inaccettabile (vietato)

Sistemi ritenuti lesivi della dignità umana o dei diritti fondamentali.
Esempi: social scoring, manipolazione cognitiva o comportamentale, riconoscimento facciale in tempo reale in spazi pubblici.
Obblighi: divieto assoluto d’uso, disattivazione immediata e segnalazione di eventuali abusi.

Cosa devono fare ora le imprese

In attesa dei decreti attuativi che definiranno i criteri tecnici, le autorità competenti e le sanzioni, le imprese possono già adottare misure preventive per gestire la transizione in modo proattivo:

1. Mappare i sistemi che utilizzano funzioni di IA, anche se integrate in software commerciali o di terze parti.
2. Assegnare un referente o un gruppo incaricato della governance dell’IA.
3. Classificare ogni sistema in base al livello di rischio e documentare le valutazioni effettuate.
4. Garantire trasparenza: informare clienti, utenti e dipendenti quando interagiscono con sistemi automatizzati.
5. Conservare evidenze delle verifiche, delle decisioni umane e degli interventi di supervisione.

Cosa devono fare i professionisti

La Legge 132/2025 coinvolge anche i professionisti — avvocati, consulenti del lavoro, commercialisti, architetti, medici, ingegneri e altre categorie — che sempre più spesso si avvalgono di strumenti basati su intelligenza artificiale per attività di analisi, redazione, diagnosi, progettazione o gestione dei dati.

L’uso dell’IA in ambito professionale deve avere carattere puramente strumentale e di supporto: il sistema può assistere il professionista, ma non può mai sostituirne il giudizio, la competenza o la responsabilità. Ogni decisione finale deve restare sotto controllo umano e imputabile al titolare dell’incarico.

Di conseguenza, i professionisti sono tenuti a:

1. informare il cliente in modo chiaro e trasparente sull’eventuale impiego di strumenti di IA nello svolgimento dell’incarico
2. integrare il contratto di incarico con una clausola che specifichi la natura di tali strumenti, il loro ruolo meramente ausiliario e le misure adottate per garantire riservatezza e sicurezza dei dati
3. garantire che il lavoro intellettuale prevalga sull’uso degli algoritmi
4. la decisione finale sia sempre attribuita al professionista

L’IA può rappresentare un valido strumento operativo, ma resta il professionista a doverne governare l’utilizzo, garantendo che ogni decisione derivi da una valutazione umana, consapevole e conforme ai principi di etica, privacy e deontologia.

La norma sull’intelligenza artificiale come vantaggio competitivo

L’entrata in vigore della Legge n. 132/2025 segna una svolta culturale e normativa per il sistema produttivo italiano.
L’obiettivo non è limitare l’innovazione, ma favorirne un uso etico, trasparente e conforme ai principi europei, dove la tecnologia resta al servizio dell’uomo.

Per le imprese e i professionisti, comprendere oggi il proprio grado di esposizione all’intelligenza artificiale significa anticipare i cambiamenti, evitare rischi e trasformare la compliance in un vantaggio competitivo fondato sulla fiducia, la responsabilità e la consapevolezza.

CCG intende proporre degli approfondimenti dedicati all’argomento a cura dei professionisti della rete CCG: state connessi per cogliere tutte le opportunità offerte dal nostro network.